Query predefinite: Per iniziare a usare, una pagina inizia vengono forniti esempi di query precaricati pensati per iniziare avviata e acquisire familiarità con le tabelle e il linguaggio di query.Built-in queries: To get you started, a starting page provides preloaded query examples designed to get you started and get you familiar with the tables and the query language.Queste query di ricerca predefinite sono sviluppate da ricercatori Microsoft sulla sicurezza in modo continuo, aggiunta di nuove query, e ottimizzazione esistente esegue una query per fornire un punto di ingresso per cercare i rilevamenti nuovi e capire da dove iniziare la ricerca per il degli albori dei nuovi attacchi.These built-in hunting queries are developed by Microsoft security researchers on a continuous basis, adding new queries, and fine-tuning existing queries to provide you with an entry point to look for new detections and figure out where to start hunting for the beginnings of new attacks.

Linguaggio di query avanzato con IntelliSense: Basato su un linguaggio di query che ti offre la flessibilità che necessaria per rendere la caccia a un livello superiore.Powerful query language with IntelliSense: Built on top of a query language that gives you the flexibility you need to take hunting to the next level.

Creare i propri segnalibri: Durante il processo di ricerca, è possibile imbattersi in corrispondenze o i risultati, i dashboard o le attività con un aspetto sospetta o insoliti oppure elementi.Create your own bookmarks: During the hunting process, you may come across matches or findings, dashboards, or activities that look unusual or suspicious.Per contrassegnare gli elementi in modo che è possibile tornare ad essi in futuro, usare la funzionalità di segnalibro.In order to mark those items so you can come back to them in the future, use the bookmark functionality.I segnalibri consentono di salvare gli elementi per un momento successivo, per essere utilizzato per creare un caso per l'analisi.Bookmarks let you save items for later, to be used to create a case for investigation.Per altre informazioni sui segnalibri, vedere usare [i segnalibri in caccia].For more information about bookmarks, see Use [bookmarks in hunting].

Usare i notebook per automatizzare l'analisi: I notebook sono simili a Playbook dettagliate che è possibile compilare per eseguire la procedura di un'indagine e di risposta.Use notebooks to automate investigation: Notebooks are like step-by-step playbooks that you can build to walk through the steps of an investigation and hunt.I notebook incapsulano tutti i passaggi di ricerca in un playbook riutilizzabile che possono essere condivisi con altri utenti nell'organizzazione.Notebooks encapsulate all the hunting steps in a reusable playbook that can be shared with others in your organization.

Fare clic sulla riga e selezionare Aggiungi segnalibro per aggiungere le righe di essere esaminato - è possibile farlo per tutto ciò che risulta sospetto.Click on the row and select Add bookmark to add the rows to be investigated - you can do this for anything that looks suspicious.

Quindi, tornare alla finestra principale caccia e fare clic sui segnalibri scheda per visualizzare tutte le attività sospette.Then, go back to the main Hunting page and click the Bookmarks tab to see all the suspicious activities.

Selezionare un segnalibro e quindi fare clic su ricerca causa per aprire l'esperienza di analisi.Select a bookmark and then click Investigate to open the investigation experience.È possibile filtrare i segnalibri.You can filter the bookmarks.Ad esempio, se si sta esaminando una campagna, è possibile creare un tag per la campagna e quindi filtrare tutti i segnalibri in base alla campagna.For example, if you're investigating a campaign, you can create a tag for the campaign and then filter all the bookmarks based on the campaign.

join -unire le righe di due tabelle in modo da formare una nuova tabella facendo corrispondere i valori delle colonne specificate da ogni tabella.join - Merge the rows of two tables to form a new table by matching values of the specified column(s) from each table.

conteggio -restituisce il numero di record nel set di record di input.count - Return the number of records in the input record set.

inizio -restituire i primi N record ordinati in base alle colonne specificate.top - Return the first N records sorted by the specified columns.

trovare -trovare righe che soddisfano un predicato in un set di tabelle.find - Find rows that match a predicate across a set of tables.

Salvare una querySave a query

È possibile creare o modificare una query e salvarla come una query o condividerlo con gli utenti che sono nello stesso tenant.You can create or modify a query and save it as your own query or share it with users who are in the same tenant.